7 Luglio 2023

L’autorità svedese si oppone a Google Analytics sanzionando per un milione un’azienda che usava Google Analytics.

Una nuova pronuncia dell’autorità svedese mette nuovamente in discussione l’uso errato di Google Analytics e delle relative conseguenze a livello sanzionatorio.

Il caso dell’autorità per la privacy svedese contro Google Analytics ha sollevato questioni cruciali sulla protezione dei dati e sui diritti dei consumatori. Tele2, un’importante azienda di telecomunicazioni, ha ricevuto una multa da 1 milione di euro per l’utilizzo non autorizzato di Google Analytics, segnando la prima sanzione di natura finanziaria per l’utilizzo di questo servizio. Questo evento si profila come un importante punto di riferimento per le organizzazioni che si preparano agli sviluppi del nuovo protocollo di trasferimento dati USA-UE. Facciamo chiarezza.

Le ripercussioni della sentenza Schrems II

La sentenza Schrems II ha avuto un impatto considerevole sulle grandi aziende tecnologiche, comunemente conosciute come Big Tech, soprattutto per quanto riguarda Google Analytics. La decisione della Corte ha messo in evidenza gravi problemi di sicurezza riguardanti la gestione dei dati personali, generando importanti ripercussioni a livello di protezione dei dati.

Nel dettaglio, la sentenza ha sollevato problematiche riguardanti la salvaguardia e la protezione dei dati personali che vengono trasferiti verso le sedi statunitensi delle società. A seguito di questa decisione, le autorità di regolamentazione hanno iniziato a consigliare contro l’uso di Google Analytics, poiché si è rivelato che il servizio non poteva garantire un livello di protezione adeguato per i dati personali che venivano trasferiti al di fuori dei confini dell’Unione Europea.

Nel 2022, l’Autorità Garante per la protezione dei dati personali italiana, in risposta alla sentenza Schrems II, ha esposto la sua posizione in modo chiaro e inequivocabile. Ha affermato che in assenza del Privacy Shield – un accordo che permetteva il trasferimento di dati personali tra l’UE e gli USA – e senza un accordo giuridicamente vincolante o misure di sicurezza adeguate in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR), le aziende sarebbero state obbligate a sospendere l’utilizzo di Google Analytics.

In sostanza, l’ente regolatore italiano ha sottolineato l’importanza di conformarsi alle normative sulla protezione dei dati, come il GDPR, sottolineando l’importanza della sicurezza dei dati personali degli utenti. In assenza di un quadro legale o di meccanismi di protezione adeguati, l’utilizzo di strumenti come Google Analytics, che comportano il trasferimento di dati personali a livello internazionale, avrebbe dovuto essere sospeso per garantire la protezione dei dati personali dei cittadini.

Google Analytics sotto la lente del Garante svedese

L’Autorità Garante svedese ha esaminato quattro società per capire come utilizzavano Google Analytics per estrarre le statistiche web. Di queste, due sono state sanzionate e a tutte è stato ordinato di cessare l’uso del servizio. La sanzione più severa è stata quella inflitta a Tele2, che ha ricevuto una multa di 12 milioni di corone svedesi (circa 1 milione di euro) per aver utilizzato Google Analytics sulla propria pagina web.

Tuttavia, la catena di negozi alimentari Coop e il giornale Dagens Industri non sono stati multati, avendo adottato misure supplementari per proteggere i dati trasferiti in base alle indicazioni fornite dalle autorità europee.

L’azione di NOYB e l’erogazione di una sanzione finanziaria storica

I reclami che hanno portato alle decisioni dell’Autorità Garante svedese sono stati presentati dall’organizzazione no-profit NOYB (None of Your Business), fondata da Max Schrems, l’attivista che ha dato il nome alla sentenza Schrems II.

Queste decisioni rappresentano un precedente importante in Europa, in quanto si tratta della prima sanzione di natura finanziaria per l’utilizzo di Google Analytics. Questo segna un punto di riferimento cruciale per le organizzazioni che utilizzano questo servizio, in attesa degli sviluppi del nuovo protocollo di trasferimento dei dati tra USA e UE.

Dettagli dei reclami e degli audit condotti

Le indagini condotte da IMY sono state avviate a seguito dei reclami avanzati da NOYB. I reclamanti hanno sottolineato che il GDPR non permette il trasferimento di dati personali al di fuori dell’UE senza strumenti adeguati per garantire un livello di protezione simile a quello richiesto dal GDPR stesso.

Nel corso degli audit condotti, IMY ha affermato che i dati trasferiti negli Stati Uniti attraverso Google Analytics sono, in primo luogo, dati personali. Questi possono essere collegati ad altri dati univoci anch’essi trasferiti, rendendo possibile l’identificazione di un individuo specifico.

Nello specifico, l’ente investigativo IMY ha dato il via alle attività indagate, basandosi su una serie di reclami avanzati dall’organizzazione NOYB. Questi reclami sottolineavano come le disposizioni stabilite dal GDPR – il Regolamento Generale sulla Protezione dei Dati dell’Unione Europea – non permettessero il trasferimento dei dati personali al di fuori dell’UE a meno che non fossero in atto misure specifiche che garantiscano a tali dati un livello di protezione equivalente a quello prescritto dal GDPR stesso.

Le principali preoccupazioni espresse dai reclamanti erano specificamente rivolte a Google, classificato come fornitore di servizi di comunicazione elettronica secondo la legislazione statunitense. In questa veste, Google è soggetto alla sorveglianza delle agenzie di intelligence degli Stati Uniti, il che solleva dubbi sulla sua capacità di garantire un’adeguata protezione dei dati personali una volta che questi sono trasferiti negli Stati Uniti, in considerazione anche delle clausole contrattuali standard attualmente in vigore. Infatti, se richiesto, Google è obbligato a consegnare questi dati al governo statunitense.

Durante l’audit condotto, IMY ha sostenuto, in linea con quanto affermato da altre autorità europee, che i dati trasferiti negli Stati Uniti attraverso gli strumenti statistici di Google sono, innanzitutto, dati personali. Questo perché possono essere collegati ad altri dati univoci che vengono trasferiti, rendendo possibile l’identificazione di uno specifico individuo. Più precisamente, le informazioni trasferite includono:

  1. Dettagli sulla visita al sito web, come le pagine visualizzate o i click effettuati;
  2. Informazioni sul dispositivo utilizzato per visitare il sito web, tra cui l’indirizzo IP;
  3. Informazioni memorizzate nel cookie (_ga cookie) che rappresenta l’ID del cliente.

Questi dati, combinati tra loro, permettono l’identificazione di un individuo specifico attraverso i cosiddetti “identificatori di rete”, specialmente se uniti ad altre informazioni di natura simile.

Conseguentemente, l’autorità ha applicato la disposizione del considerando 30 del GDPR, che afferma che “gli individui possono essere associati a identificatori online forniti dai loro dispositivi, come indirizzi IP, cookie o altri identificatori. Questo può lasciare tracce che, in combinazione con identificatori univoci e altri dati raccolti, possono essere utilizzati per creare profili di individui e identificarli“.

Attraverso l’integrazione delle informazioni raccolte da Google Analytics, divise secondo specifici indicatori creati con l’intento di distinguere i singoli visitatori, questi ultimi diventano inevitabilmente identificabili. Questo processo porta alla piena applicazione dei principi stabiliti dal GDPR.

La veridicità di questa affermazione è ulteriormente rafforzata dal fatto che, accedendo al proprio account Google, un reclamante può effettuare l’accesso al proprio account Google una volta giunto sul sito di Tele2. Questo consente a Google di utilizzare le informazioni raccolte con Analytics per inviare annunci personalizzati all’utente visitante.

L’opinione di NOYB e la previsione sul nuovo protocollo di trasferimento dei dati UE/USA

Secondo Marco Blocher, avvocato specializzato in protezione dei dati e membro di NOYB, la decisione di IMY rappresenta un cambiamento positivo rispetto ad altre autorità di protezione dei dati. Blocher ha elogiato l’azione dell’autorità svedese per la sua decisione di imporre una multa significativa e di proibire l’uso continuato di uno strumento che viola il GDPR.

Tuttavia, NOYB ha espresso scetticismo sul nuovo protocollo di trasferimento dei dati UE/USA, sostenendo che esso non risolverà i problemi legati al trasferimento dei dati personali.

Conclusione

Il caso svedese contro Google Analytics segna una svolta nella protezione dei dati personali. Questa sanzione finanziaria, la prima del suo genere, potrebbe servire da esempio per altre organizzazioni e autorità di regolamentazione in tutto il mondo. La decisione sottolinea l’importanza della protezione dei dati e la necessità di attenersi alle regole del GDPR. Il prossimo passo sarà vedere come le organizzazioni risponderanno a questa decisione e come si svilupperà il nuovo protocollo di trasferimento dei dati tra USA e UE.

Hai dei dubbi? Non sai da dove iniziare? Contattaci !

Abbiamo tutte le risposte alle tue domande per aiutarti nella giusta scelta.

Chatta con noi

Chatta direttamente con il nostro supporto prevendita.

0256569681

Contattaci telefonicamente negli orari d’ufficio 9:30 – 19:30

Contattaci online

Apri una richiesta direttamente nell’area dei contatti.

INFORMAZIONI

Managed Server S.r.l. è un player italiano di riferimento nel fornire soluzioni avanzate di sistemistica GNU/Linux orientate all’alta performance. Con un modello di sottoscrizione dai costi contenuti e prevedibili, ci assicuriamo che i nostri clienti abbiano accesso a tecnologie avanzate nel campo dell’hosting, server dedicati e servizi cloud. Oltre a questo, offriamo consulenza sistemistica su sistemi Linux e manutenzione specializzata in DBMS, IT Security, Cloud e molto altro. Ci distinguiamo per l’expertise in hosting di primari CMS Open Source come WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart e Magento, affiancato da un servizio di supporto e consulenza di alto livello adatto per la Pubblica Amministrazione, PMI, ed aziende di qualsiasi dimensione.

Red Hat, Inc. detiene i diritti su Red Hat®, RHEL®, RedHat Linux®, e CentOS®; AlmaLinux™ è un marchio di AlmaLinux OS Foundation; Rocky Linux® è un marchio registrato di Rocky Linux Foundation; SUSE® è un marchio registrato di SUSE LLC; Canonical Ltd. detiene i diritti su Ubuntu®; Software in the Public Interest, Inc. detiene i diritti su Debian®; Linus Torvalds detiene i diritti su Linux®; FreeBSD® è un marchio registrato di The FreeBSD Foundation; NetBSD® è un marchio registrato di The NetBSD Foundation; OpenBSD® è un marchio registrato di Theo de Raadt. Oracle Corporation detiene i diritti su Oracle®, MySQL®, e MyRocks®; Percona® è un marchio registrato di Percona LLC; MariaDB® è un marchio registrato di MariaDB Corporation Ab; REDIS® è un marchio registrato di Redis Labs Ltd. F5 Networks, Inc. detiene i diritti su NGINX® e NGINX Plus®; Varnish® è un marchio registrato di Varnish Software AB. Adobe Inc. detiene i diritti su Magento®; PrestaShop® è un marchio registrato di PrestaShop SA; OpenCart® è un marchio registrato di OpenCart Limited. Automattic Inc. detiene i diritti su WordPress®, WooCommerce®, e JetPack®; Open Source Matters, Inc. detiene i diritti su Joomla®; Dries Buytaert detiene i diritti su Drupal®. Amazon Web Services, Inc. detiene i diritti su AWS®; Google LLC detiene i diritti su Google Cloud™ e Chrome™; Facebook, Inc. detiene i diritti su Facebook®; Microsoft Corporation detiene i diritti su Microsoft®, Azure®, e Internet Explorer®; Mozilla Foundation detiene i diritti su Firefox®. Apache® è un marchio registrato di The Apache Software Foundation; PHP® è un marchio registrato del PHP Group. CloudFlare® è un marchio registrato di Cloudflare, Inc.; NETSCOUT® è un marchio registrato di NETSCOUT Systems Inc.; ElasticSearch®, LogStash®, e Kibana® sono marchi registrati di Elastic N.V. Questo sito non è affiliato, sponsorizzato, o altrimenti associato a nessuna delle entità sopra menzionate e non rappresenta nessuna di queste entità in alcun modo. Tutti i diritti sui marchi e sui nomi di prodotto menzionati sono di proprietà dei rispettivi detentori di copyright. Ogni altro marchio citato appartiene ai propri registranti. MANAGED SERVER® è un marchio registrato a livello Europeo da MANAGED SERVER SRL Via Enzo Ferrari, 9 62012 Civitanova Marche (MC) Italia.

Torna in alto